Criterios de éxito para la estrategia de acceso con privilegios

En este documento se describen los criterios de éxito para una estrategia de acceso con privilegios. En esta sección se describen perspectivas estratégicas del éxito para una estrategia de acceso privilegiado. Para obtener una hoja de ruta sobre cómo adoptar esta estrategia, véase el plan de modernización rápida (RaMP). Para obtener instrucciones sobre la implementación, consulte Implementación con privilegios de acceso

La implementación de una estrategia holística con enfoques Confianza cero crea un "sello" de tipo sobre el control de acceso para un acceso privilegiado que lo hace resistente a los atacantes. Esta estrategia se lleva a cabo limitando las rutas al acceso con privilegios sólo unos pocos, y luego proteger y monitorear estrechamente esas vías autorizadas.

End state goal with limited entry paths for attackers

Una estrategia exitosa debe abordar todos los puntos que los atacantes pueden utilizar para interceptar flujos de trabajo con acceso privilegiado, incluidas cuatro iniciativas distintas:

  • Elementos de flujo de trabajo de Access con privilegios del flujo de trabajo con acceso privilegiado, incluidos dispositivos subyacentes, sistemas operativos, aplicaciones e identidades
  • Sistemas de identidad que hospedan las cuentas con privilegios y los grupos, y otros artefactos que conceden privilegios a las cuentas
  • Flujo de trabajo de acceso de usuario y rutas de elevación autorizadas que pueden dar lugar a un acceso privilegiado
  • Interfaces de aplicaciones donde se aplica la directiva de acceso de confianza cero y se configura el control de acceso basado en roles (RBAC) para conceder privilegios

Nota

Una estrategia de seguridad completa también incluye protecciones de activos que están fuera del ámbito del control de acceso, como copias de seguridad de datos y protecciones contra ataques a la propia aplicación, el sistema operativo subyacente y el hardware, en las cuentas de servicio usadas por la aplicación o el servicio, y en los datos en reposo o en tránsito. Para obtener más información sobre cómo modernizar una estrategia de seguridad para la nube, vea el artículo Definir una estrategia de seguridad.

Un ataque consiste en atacantes humanos que aprovechan la automatización y los scripts para atacar una organización está compuesto por seres humanos, los procesos que siguen y la tecnología que usan. Debido a esta complejidad tanto de los atacantes como de los defensores, la estrategia debe ser multifacenciada para protegerse de todas las personas, procesos y tecnologías que las garantías de seguridad podrían minarse involuntariamente.

Garantizar el éxito sostenible a largo plazo requiere cumplir los siguientes criterios:

Prioridades despiadados

Priorización despiadado es la práctica de tomar las acciones más eficaces con el tiempo más rápido para valorar primero, incluso si esos esfuerzos no se ajustan a planes, percepciones y hábitos preexistencias. Esta estrategia establece el conjunto de pasos que se han aprendido en el crucible ardiente de muchos de los principales incidentes de ciberseguridad. Los conocimientos de estos incidentes forman los pasos que ayudamos a las organizaciones a tomar para garantizar que estas crisis no vuelvan a ocurrir.

Aunque siempre resulta tentador para los profesionales de seguridad intentar optimizar los controles existentes familiares, como la seguridad de red y los firewalls para ataques más recientes, esta ruta siempre conduce a errores. El equipo de detección y respuesta de Microsoft (DART) ha estado respondiendo a ataques de acceso privilegiado durante casi una década y ve constantemente que estos enfoques de seguridad clásicos no detectan ni detienen estos ataques. Si bien la seguridad de red proporciona higiene de seguridad básica necesaria e importante, es fundamental salir de estos hábitos y centrarse en mitigaciones que disuadir o bloquear ataques del mundo real.

Prioriza de forma cruel los controles de seguridad recomendados en esta estrategia, incluso si desafía supuestos existentes y obliga a las personas a aprender nuevas habilidades.

Equilibrar la seguridad y la productividad

Al igual que con todos los elementos de la estrategia de seguridad, el acceso privilegiado debe garantizar que se cumplan los objetivos de productividad y seguridad.

Equilibrar la seguridad evita los extremos que crean riesgo para la organización al:

  • Evite la seguridad excesivamente estricta que hace que los usuarios salgan fuera de las directivas, rutas y sistemas seguros.
  • Evitar una seguridad débil que perjudique la productividad al permitir a los adversarios poner en peligro fácilmente la organización.

Para obtener más información sobre la estrategia de seguridad, vea el artículo Definir una estrategia de seguridad.

Para minimizar el impacto empresarial negativo de los controles de seguridad, debe priorizar los controles de seguridad invisibles que mejoren los flujos de trabajo de los usuarios, o al menos no obstaculicen o cambien los flujos de trabajo de los usuarios. Aunque los roles sensibles a la seguridad pueden necesitar medidas de seguridad visibles que cambien sus flujos de trabajo diarios para proporcionar garantías de seguridad, esta implementación debe realizarse cuidadosamente para limitar el impacto y el ámbito de la facilidad de uso tanto como sea posible.

Esta estrategia sigue esta guía mediante la definición de tres perfiles (que se detalla más adelante en Mantener simple - Personas y Perfiles)

Productivity and security ramped up by privilege levels

Alianzas sólidas dentro de la organización

La seguridad debe trabajar para crear asociaciones dentro de la organización para tener éxito. Además de la verdad intemporal de que "ninguno de nosotros es tan inteligente como todos nosotros", la naturaleza de la seguridad es ser una función de apoyo para proteger los recursos de otra persona. La seguridad no es responsable de los recursos que ayudan a proteger (rentabilidad, tiempo de actividad, rendimiento, etc.), la seguridad es una función de soporte técnico que proporciona asesoramiento y servicios expertos para ayudar a proteger la propiedad intelectual y la funcionalidad empresarial que es importante para la organización.

La seguridad siempre debe trabajar como un socio en apoyo de los objetivos empresariales y misionales. Aunque la seguridad no debe tímidamente dar consejos directos como recomendar no aceptar un alto riesgo, la seguridad también debe enmarcar ese consejo en términos del riesgo empresarial en relación con otros riesgos y oportunidades administrados por los propietarios de recursos.

Aunque algunas partes de la seguridad pueden planearse y ejecutarse correctamente en su mayoría dentro de la organización de seguridad, muchas como la protección del acceso privilegiado requieren trabajar estrechamente con las organizaciones empresariales y de TI para comprender qué roles proteger, y ayudar a actualizar y rediseñar los flujos de trabajo para asegurarse de que son seguros y permitir a las personas hacer su trabajo. Para obtener más información sobre esta idea, consulte la sección Transformaciones, mentalidades y expectativas en el artículo de orientación de la estrategia de seguridad.

Interrumpir el retorno de la inversión del atacante

Mantenga el enfoque en el pragmatismo asegurándose de que es probable que las medidas defensivas interrumpan significativamente la propuesta de valor del atacante de atacarle, aumentando el costo y la fricción en la capacidad del atacante para atacarle correctamente. Evaluar cómo las medidas defensivas tendrían un impacto en el costo del ataque del adversario proporciona un recordatorio saludable para centrarse en la perspectiva de los atacantes, así como un mecanismo estructurado para comparar la eficacia de las diferentes opciones de mitigación.

Su objetivo debe ser aumentar el costo de los atacantes mientras minimiza su propio nivel de inversión en seguridad:

Increase attack cost with minimal defense cost

Interrumpa el retorno de la inversión (ROI) del atacante aumentando su costo de ataque entre los elementos de la sesión de acceso privilegiado. Este concepto se describe con más detalle en el artículo Criterios de éxito para la estrategia de acceso con privilegios.

Importante

Una estrategia de acceso privilegiado debe ser integral y proporcionar defensa en profundidad, pero debe evitar el gasto en la falacia en profundidad donde los defensores simplemente acumulan en más de los mismos controles de tipo (conocidos) (a menudo firewalls de red / filtros) más allá del punto donde agregan cualquier valor de seguridad significativo.

Para obtener más información sobre el ROI del atacante, consulta el breve vídeo y la discusión en profundidad que interrumpe el retorno de la inversión del atacante.

Principio de origen limpio

El principio de origen limpio requiere que todas las dependencias de seguridad sean tan confiables como el objeto protegido.

Clean source principle

Cualquier asunto que controle un objeto es una dependencia de seguridad de ese objeto. Si un adversario puede controlar cualquier cosa que tenga el control de un objeto objetivo, puede controlar ese objeto objetivo. Debido a esta amenaza, debe asegurarse de que las garantías de todas las dependencias de seguridad se encuentran en o por encima del nivel de seguridad deseado del propio objeto. Este principio se aplica a muchos tipos de relaciones de control:

If an attacker controls any part of the target they control the target

Aunque en principio es sencillo, este concepto se vuelve complejo fácilmente en el mundo real, ya que la mayoría de las empresas crecieron orgánicamente a lo largo de décadas y tienen muchos miles de relaciones de control recursivamente que se acumulan entre sí, se repiten entre sí, o ambas. Esta web de relaciones de control proporciona muchas rutas de acceso que un atacante puede descubrir y navegar durante un ataque, a menudo con herramientas automatizadas.

La estrategia de acceso con privilegios recomendada de Microsoft es, de hecho, un plan para desenredar las partes más importantes de este nudo primero mediante un enfoque Confianza cero, validando explícitamente que el origen es limpio antes de permitir el acceso al destino.

En todos los casos, el nivel de confianza del origen debe ser el mismo o superior que el destino.

  • La única excepción notable a este principio es permitir el uso de dispositivos personales no administrados y dispositivos asociados para escenarios empresariales. Esta excepción permite la colaboración y la flexibilidad empresarial y se puede mitigar a un nivel aceptable para la mayoría de las organizaciones debido al bajo valor relativo de los activos empresariales. Para obtener más contexto sobre la seguridad BYOD, consulte la entrada de blog Cómo una directiva BYOD puede reducir el riesgo de seguridad en el sector público.
  • Esta misma excepción no se puede ampliar a niveles de seguridad especializados y con privilegios, pero debido a la sensibilidad de seguridad de estos activos. Algunos proveedores de MDM/PAM pueden abogar por que sus soluciones puedan mitigar el riesgo de los dispositivos de nivel inferior, pero respetamos esas afirmaciones en función de nuestra experiencia en la investigación de incidentes. Los propietarios de activos de la organización pueden optar por aceptar el riesgo de usar dispositivos de nivel de seguridad empresarial para acceder a recursos especializados o con privilegios, pero Microsoft no recomienda esta configuración. Para obtener más información, consulte las instrucciones intermedias para Privileged Access Management /Privileged Identity Management.

La estrategia de acceso privilegiado cumple este principio principalmente al aplicar Confianza cero directiva con acceso condicional en sesiones de entrada en interfaces e intermediarios. El principio de origen limpio comienza con la obtención de un nuevo dispositivo de un OEM que se ha creado conforme a las especificaciones de seguridad, incluida la versión del sistema operativo, la configuración de línea base de seguridad y otros requisitos, como el uso de Windows AutoPilot para la implementación.

Opcionalmente, el principio de fuente limpia puede convertirse en una revisión muy rigurosa de cada componente de la cadena de suministro, incluidos los medios de instalación para sistemas operativos y aplicaciones. Aunque este principio sería apropiado para las organizaciones que se enfrentan a atacantes altamente sofisticados, debería ser una prioridad inferior a los demás controles de esta guía.

Pasos siguientes